攻擊者利用WordPress、Joomla和JBoss服務(wù)器“挖礦”

責(zé)任編輯:editor004

2017-09-22 10:52:01

摘自:E安全

IBM X-Force團(tuán)隊(duì)收集的遙測(cè)數(shù)據(jù)顯示,今年1月~8月,在企業(yè)網(wǎng)絡(luò)上安裝加密貨幣挖礦工具的攻擊數(shù)量增長(zhǎng)六倍。過(guò)去幾個(gè)月浮出水面的虛擬貨幣挖礦惡意軟件的感染事件包括:  今年1月,Terror Exploit Kit釋放門(mén)羅幣“挖礦機(jī)”。

 IBM X-Force團(tuán)隊(duì)收集的遙測(cè)數(shù)據(jù)顯示,今年1月~8月,在企業(yè)網(wǎng)絡(luò)上安裝加密貨幣挖礦工具的攻擊數(shù)量增長(zhǎng)六倍。

卡巴斯基近期發(fā)布報(bào)告指出,今年前8個(gè)月,加密貨幣挖礦惡意軟件感染了165萬(wàn)余臺(tái)運(yùn)行卡巴斯基解決方案的設(shè)備。

攻擊者利用WordPress、Joomla和JBoss服務(wù)器“挖礦”-E安全

卡巴斯基收集的數(shù)據(jù)主要來(lái)自桌面終端,而IBM收集的遙測(cè)數(shù)據(jù)來(lái)自服務(wù)器和其它企業(yè)系統(tǒng)。

攻擊者在虛假鏡像文件中隱藏加密貨幣“挖礦機(jī)”

IBM表示,前8個(gè)月的大多數(shù)感染出自相同的挖礦工具和類(lèi)似的感染技術(shù)。

IBM的Dave McMillen(戴夫·麥克米倫)接受外媒電子郵件采訪(fǎng)時(shí)表示,攻擊者首先使用大量漏洞利用攻擊CMS平臺(tái)(例如WordPress、Joomla和JBoss服務(wù)器),之后發(fā)起CMDI(命令注入)攻擊,從而安裝加密貨幣挖礦工具。

McMillen表示,攻擊者借助隱寫(xiě)術(shù),將挖礦工具隱藏在虛假鏡像文件內(nèi),存儲(chǔ)在運(yùn)行Joomla或WordPress的被黑Web服務(wù)器或被黑JBoss應(yīng)用服務(wù)器上。

McMillen指出,攻擊者通常會(huì)下載自定義版本的合法挖礦工具,例如Minerd、kworker。大多數(shù)情況下攻擊者會(huì)瞄準(zhǔn)門(mén)羅幣(Monero)等基于CryptoNote協(xié)議的貨幣。

所有垂直行業(yè)均中招

McMillen補(bǔ)充稱(chēng),研究人員無(wú)法確定攻擊組織或被感染服務(wù)器的數(shù)量,但攻擊者并不會(huì)挑三揀四,任何能感染的目標(biāo)均不會(huì)放過(guò)。
被感染的服務(wù)器分布在多個(gè)垂直行業(yè),包括制造業(yè)、金融行業(yè)、零售業(yè)、IT和通信等。

攻擊者利用WordPress、Joomla和JBoss服務(wù)器“挖礦”-E安全

Mirai版挖礦惡意軟件暫別江湖

今年4月IBM X-Force團(tuán)隊(duì)發(fā)現(xiàn)的一款具備加密貨幣挖礦功能的Mirai物聯(lián)網(wǎng)惡意軟件。

許多專(zhuān)家預(yù)測(cè),這款?lèi)阂廛浖€會(huì)重現(xiàn)江湖。但McMillen表示,目前尚未發(fā)現(xiàn)部署挖礦功能的新Mirai惡意軟件,對(duì)于攻擊者而言,利用物聯(lián)網(wǎng)挖礦可能還處于PoC階段。他預(yù)計(jì)攻擊者會(huì)以同樣的攻擊方式針對(duì)服務(wù)器和桌面終端,因?yàn)檫@兩大目標(biāo)是相當(dāng)有利可圖的挖礦環(huán)境。

IBM和卡巴斯基報(bào)告稱(chēng),加密貨幣惡意挖礦軟件呈現(xiàn)增長(zhǎng)的趨勢(shì)。過(guò)去幾個(gè)月浮出水面的虛擬貨幣挖礦惡意軟件的感染事件包括:

今年1月,Terror Exploit Kit釋放門(mén)羅幣“挖礦機(jī)”。

某些Mirai僵尸網(wǎng)絡(luò)變種測(cè)試加密貨幣挖礦功能。

加密貨幣“挖礦機(jī)”通過(guò)“永恒之藍(lán)”漏洞部署。

Bondnet僵尸網(wǎng)絡(luò)在約1.5萬(wàn)臺(tái)計(jì)算機(jī)上安裝門(mén)羅幣“挖礦機(jī)”,大多數(shù)為Windows服務(wù)器實(shí)例。

Linux.MulDrop.14惡意軟件利用暴露在網(wǎng)上的樹(shù)莓派設(shè)備挖礦。

攻擊者通過(guò)SambaCry漏洞利用部署EternalMiner惡意軟件攻擊Linux服務(wù)器。

Trojan.BtcMine.1259挖礦機(jī)使用NSA DobulePulsar感染W(wǎng)indows計(jì)算機(jī)。

今年7月,DevilRobber加密貨幣挖礦軟件成為第二大熱門(mén)Mac惡意軟件。

安全記者Brian Krebs提到門(mén)羅幣挖礦軟件Linux.BTCMine.26。

CoinMiner活動(dòng)利用“永恒之藍(lán)”和WMI感染用戶(hù)。

Zminer木馬被發(fā)現(xiàn)感染Amazon S3服務(wù)器

CodeFork團(tuán)伙使用無(wú)文件惡意軟件推送門(mén)羅幣挖礦軟件。

Hiking Club惡意廣告活動(dòng)通過(guò)Neptune Exploit Kit釋放門(mén)羅幣挖礦軟件。

CS:GO攻擊分子傳送針對(duì)MacOS用戶(hù)的門(mén)羅幣挖礦軟件。

Jimmy銀行木馬新增門(mén)羅幣挖礦支持功能。

新的門(mén)羅幣挖礦軟件通過(guò)通訊社交軟件Telegram宣傳。

門(mén)羅幣挖礦Chrome擴(kuò)展程序出現(xiàn)在用戶(hù)瀏覽器內(nèi)。

新型Redatup惡意軟件變種包含門(mén)羅幣挖礦功能。

加密貨幣挖礦惡意廣告出現(xiàn)用戶(hù)瀏覽器中。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)